Wu a déclaré avoir été informé que le responsable de la sécurité de l'information de SlowMist, 23pds, avait déclaré que le groupe Lazarus contactait actuellement des cibles du secteur de la crypto-monnaie via LinkedIn et volait les autorisations ou les actifs des employés via des logiciels malveillants. Tout d’abord, ils contactent les dirigeants de l’entreprise cible ou le personnel RH via LinkedIn et prétendent faussement rechercher un emploi en tant que développeur React/Blockchain. L'attaquant prétendra alors être un chercheur d'emploi expérimenté et invitera l'accès à son référentiel pour exécuter le code afin de voir à quel point il est bon, alors qu'en fait le référentiel contient des extraits de code malveillants. Une fois exécuté, il tente de voler autant de données que possible sur l'appareil de l'utilisateur, puis les télécharge sur un serveur contrôlé par un attaquant.